Anti-ddos-dienst NaWas komt via overeenkomst met BelgiumIX beschikbaar in België

De Nationale Wasstraat tegen DDoS-aanvallen, ofwel NaWas, wordt via een samenwerking met BelgiumIX beschikbaar voor Belgische klanten van die internetexchange. De NaWas is opgericht door de Nederlandse organisatie NBIP.

BelgiumIX-klanten kunnen voortaan bij een ddos-aanval al het verkeer via de NaWas sturen, die het verkeer filtert en naar de BelgiumIX-servers stuurt. Zo kunnen klanten 'enkele minuten' nadat de aamva; start weer online zijn, ook al gaat de aanval zelf door. Internetexchange BelgiumIX werkt met tien datacenters in onder meer Brussel, Gent en Antwerpen. NaWas via BelgiumIX kost voor 'kleine operatoren' niks extra's, zegt de internetexchange.

NaWas is een dienst van de Nederlandse Nationale Beheersorganisatie Internet Providers, ofwel NBIP, en wordt sinds 2014 aan Nederlandse providers aangeboden. Het idee van NaWas is dat individuele providers zelf geen anti-ddos-maatregelen hoeven te implementeren, wat normaliter gepaard gaat met hoge kosten. In plaats daarvan regelt de NaWas dit.

In september sprak Tweakers met NBIP-directeur Octavia de Weerdt. In dat interview gaf De Weerdt al aan de NaWas te willen uitbreiden naar meer Europese landen. Destijds waren er al aansluitingen met een exchange in Turijn en Londen. In het afgelopen jaar verwerkte de NaWas 1600 aanvallen; in het afgelopen kwartaal waren er aanvallen van meer dan 300Gbit/s.

Door Hayte Hugo

Redacteur

Feedback • 20-12-2021 15:01 32

20-12-2021 • 15:01

32

Lees meer

NaWas, tapvorderingen en anti-abuse

21 sep 2021

NaWas, tapvorderingen en anti-abuse

Directeur over 20 jaar NBIP: we doen best veel

25
De destructiviteit van ddos-aanvallen

3 okt 2020

De destructiviteit van ddos-aanvallen

Ddos'en zijn ondanks eenvoud amper te stoppen

103
Ddos-wasstraat NaWas is voortaan via ERA-IX ook vanuit Duitsland te gebruiken
Ddos-wasstraat NaWas is voortaan via ERA-IX ook vanuit Duitsland te gebruiken Nieuws van 13 juni 2025
Ddos-kwetsbaarheid in Mitel-systemen kan packet 4 miljard keer versterken
Ddos-kwetsbaarheid in Mitel-systemen kan packet 4 miljard keer versterken Nieuws van 9 maart 2022
Afpersers bestoken DirectVPS met ddos-aanvallen met pieken van 210Gbit/s
Afpersers bestoken DirectVPS met ddos-aanvallen met pieken van 210Gbit/s Nieuws van 16 juli 2021
Hostnet en Fiber hadden last van ddos-aanval
Hostnet en Fiber hadden last van ddos-aanval Nieuws van 30 november 2020
Staatssecretaris: ddos-aanvallen zijn niet te voorkomen
Staatssecretaris: ddos-aanvallen zijn niet te voorkomen Nieuws van 27 oktober 2020
Nederlandse ddos-doelwitten ontvingen afpersingsmail uit naam van staatshackers
Nederlandse ddos-doelwitten ontvingen afpersingsmail uit naam van staatshackers Nieuws van 4 september 2020
Opnieuw vinden grootschalige ddos-aanvallen op Nederlandse providers plaats
Opnieuw vinden grootschalige ddos-aanvallen op Nederlandse providers plaats Nieuws van 1 september 2020
Bedrijven en instanties beginnen No More Ddos-website om aanvallen te voorkomen
Bedrijven en instanties beginnen No More Ddos-website om aanvallen te voorkomen Nieuws van 11 juni 2020
Rapport: ddos-aanvallen in Nederland worden grootschaliger en complexer
Rapport: ddos-aanvallen in Nederland worden grootschaliger en complexer Nieuws van 2 juni 2020
'Nederland kreeg vorig jaar meer krachtige ddos-aanvallen te verduren'
'Nederland kreeg vorig jaar meer krachtige ddos-aanvallen te verduren' Nieuws van 25 maart 2019
Meer producten en artikelen
Beveiliging en antivirus België Ddos Exchange

Reacties (32)

-Moderatie-faq
32
32
14
3
1
16
Wijzig sortering
Snow_King 20 december 2021 15:17
BelgiumIX-klanten kunnen voortaan bij een ddos-aanval al het verkeer via de NaWas sturen, die het verkeer filtert en naar de BelgiumIX-servers stuurt.
Technisch klopt dat niet helemaal. Via een apart VLAN en een eigen BGP sessie met de NAWAS krijg je het gefilterde verkeer afgeleverd.

Normaliter announce je op het internet een /23, /22, /21 of groter IPv4 subnet. Als je wordt aangevallen announce je via de NAWAS (AS200020) een /24 welke more-specific is dan de /23, 22 of 21 die jij announced.

Routing kiest altijd de more specific route en daardoor gaat het verkeer naar de NAWAS. Zij filteren het verkeer en leveren dan via de BGP sessie die je met de NAWAS (AS200020) hebt het verkeer via de NL-IX of nu BelgiumIX weer schoon bij je af.

Dit werkt ook voor voor IPv6. Daar announcen ze een /48 voor je waar je normaliter een /29 of /32 voor je announcen.

Verkeer loopt dus niet via de servers van de BelgiumIX. Nee, via de BelgiumIX heb je een BGP sessie met de NAWAS waarover je het schone verkeer krijgt.
thePiett @Snow_King20 december 2021 15:44
Nice, thanks voor de uitleg. Ik wist niet dat dit zo werkte. Je krijgt schoon verkeer dus via een BGP sessie weer binnen, maar hoe werkt dat dan precies? BGP wordt toch alleen gebruikt voor het uitwisselen van routes en niet voor daadwerkelijk verkeer?
robvanwijk @thePiett20 december 2021 21:27
De kern van het verhaal is dat je zelf niets hoeft te veranderen aan je configuratie (welke announcements je doet), maar dat NaWas al het verkeer dat jouw kant op komt (met jouw toestemming!) "kaapt" door het gebruik (of, misbruik??) van het algemene longest prefix match principe.

Als er op de snelweg een bord "Amsterdam: linksaf" staat dan zal iedereen die naar Amsterdam moet linksaf slaan. Maar als je er een bord "Amsterdam Zuid: rechtsaf" naast zet, dan zal verkeer naar Amsterdam Zuid snappen dat ze het algemene "Amsterdam" bord moeten negeren en rechtsaf gaan. Bij longest prefix gebeurt ongeveer hetzelfde: je moet elke route lezen alsof ie een onzichtbare voetnoot heeft: "tenzij een route met een langere match (een specifieker adres, net zoals "Amsterdam Zuid" specifieker is dan "Amsterdam") iets anders zegt".

Stel nou dat heel Amsterdam maar twee delen heeft: Amsterdam Noord en Amsterdam Zuid (net zoals bitjes slechts twee waarden kunnen hebben). Normaal announce je via BGP een verkeersbord "Amsterdam: hierheen", maar zodra je aangevallen wordt vraag je aan NaWas om er twee borden naast te zetten (eentje voor Amsterdam Noord en eentje voor Amsterdam Zuid), die allebei naar NaWas wijzen. Als een mens die drie routes naast elkaar ziet staan en erover nadenkt, ja, dan zal die dat heel raar vinden. Maar gelukkig zijn routers heel goed in braaf regeltjes volgen, zonder erover na te denken, en sturen ze zonder problemen al jouw verkeer naar NaWas.
Step @thePiett20 december 2021 15:48
BGP wordt inderdaad gebruikt voor het uitwisselen van routes. Juist door de routering om te leiden via NAWAS en dit niet rechtstreeks naar je eigen organisatie te sturen verloopt het verkeer via NAWAS. Ze kunnen het verkeer indien nodig inspecteren of bij een DDoS droppen of redirecten (afhankelijk van de gemaakte afspraken en de werking van hun product).

Zie het als een omleiding op straat, het komt wel bij de bestemming aan maar de politie kan door de omleiding wel controles uitvoeren op een parkeerplaats waar het verkeer verplicht langs moet. :)

[Reactie gewijzigd door Step op 23 juli 2024 21:02]

webfreakz.nl @thePiett20 december 2021 16:50
Je krijgt schoon verkeer
Het is heel mierenneukerig, maar inderdaad, je krijgt vooral schoner verkeer binnen. Niet elke DDoS aanval kan je netjes filteren omdat er geen DDOS-bitje in de IPv4 header zit :P
dus via een BGP sessie weer binnen, maar hoe werkt dat dan precies?
Je krijgt het verkeer via een fysieke interface binnen op je router waarover ook de BGP sessie is opgezet tussen de routers van een NBIP-deelnemer en de NBIP zelve.
robvanwijk @webfreakz.nl20 december 2021 21:03
Niet elke DDoS aanval kan je netjes filteren omdat er geen DDOS-bitje in de IPv4 header zit :P
Tuurlijk wel, precies voor dit doel is heeft RFC 3514 de "evil bit" geïntroduceerd. Echt een geniaal idee, nu alleen nog even bedenken hoe we criminelen zover krijgen dat ze alleen de wet overtreden, niet de spec...
Bulkzooi @Snow_King20 december 2021 18:29
klopt.
BelgiumIX voegt ook niks toe. Is enkel een entiteit om juridische verantwoording te verleggen via een backupplan.
Verwijderd @Snow_King20 december 2021 21:25
Routing kiest altijd de more specific route en daardoor gaat het verkeer naar de NAWAS. Zij filteren het verkeer en leveren dan via de BGP sessie die je met de NAWAS (AS200020) hebt het verkeer via de NL-IX of nu BelgiumIX weer schoon bij je af.
Dit hoeft niet specifiek voor een subnet maar schijnt ook zo te werken in geval van een individueel IP-adres. Providers die aangesloten zijn bij NBIP (nawas) gebruiken dit o.a. ook om te voldoen aan de eis (wetgeving) om een tap te kunnen zetten als justitie dit beveelt.

Voordeel voor de provider(s) is dat ze niet zelf hoeven te investeren maar het gewoon via NBIP kan worden afgehandeld.
Snow_King @Verwijderd20 december 2021 21:40
Deels waar. Op het internet is een /24 IPv4 en een /48 IPv6 het kleinste subnet wat je kan announcen. Kleiner wordt weg gefilterd door de meeste partijen op het internet.

NBIP helpt inderdaad ook met tappen, maar hoe dat precies werkt verschilt per partij.
moonlander 20 december 2021 17:40
Hoe worden die kosten betaald van de nawas? Iedereen heeft er uiteindelijk baat bij, aanvallers daarin tegen... Maar is het dat nawas gratis aanbied aan providers en dat we dit met belastinggeld betalen?
Snow_King @moonlander20 december 2021 17:46
Nee, dat lijkt ook foutief in het artikel. De NAWAS is niet gratis. Ik ga geen prijzen noemen, maar het is betaalbaar voor een ISP
robvanwijk @moonlander20 december 2021 21:07
Maar is het dat nawas gratis aanbied aan providers en dat we dit met belastinggeld betalen?
Als je nauwkeurig leest zul je zien dat er niet staat dat het gratis is:
NaWas via BelgiumIX kost voor 'kleine operatoren' niks extra's, zegt de internetexchange.
Hoewel het er niet expliciet staat lees ik daar toch wel een behoorlijk dikke hint dat grootverbruikers wel moeten betalen.
NaWas is een dienst van de Nederlandse Nationale Beheersorganisatie Internet Providers, ofwel NBIP
De NBIP is geen overheidsorgaan maar een non-profit, dus het wordt sowieso niet uit belastinggeld betaald.
pixeled 20 december 2021 15:04
Zo kunnen klanten 'enkele minuten' nadat een aanval stopt weer online zijn, ook al gaat de aanval zelf door
Euhm, huh? :)
Malantur @pixeled20 december 2021 15:09
BelgiumIX-klanten kunnen voortaan bij een ddos-aanval al het verkeer via de NaWas sturen, die het verkeer filtert en naar de BelgiumIX-servers stuurt.
Je stuurt al je DDoS verkeer naar NaWas die het filtert, en enkel het legitieme verkeer wordt terug doorgestuurd naar de servers van de klant waardoor die terug bereikbaar is na enkele minuten. :)
pixeled @Malantur20 december 2021 15:14
Thanks voor de uitleg :) De werking van NaWas was me echter helder, het ging me in het zinnetje om:
Zo kunnen klanten 'enkele minuten' nadat een aanval stopt weer online zijn
en vervolgens
ook al gaat de aanval zelf door
Dus kort nadat een aanval op een dienst stopt kan die dienst weer snel online zijn, ook al gaat de aanval door. Maar dat kan niet, want hij was al gestopt volgens het zinnetje :P Ik zou dus verwachten dat die stopt eigenlijk een start moet zijn :) Of ik begrijp hem verkeerd natuurlijk!
Piet54321 @pixeled20 december 2021 17:31
Dat “stopt” moet hier waarschijnlijk “begint” zijn.
AlbertJP @Piet5432120 december 2021 23:37
Of stopt, in de zin dat de servers niet crashen tijdens de aanval en dus direct weer werken zodra de normale situatie hersteld is.
musiman 20 december 2021 15:06
Ik zou wel eens willen weten wat de verschillen in capaciteit zijn van NaWas en anderen, zoals die van Akamai. In hoeverre kan NaWas ook voor grote multinationals het verkeer filteren?
Verwijderd @musiman20 december 2021 21:04
NaWas is voor Benelux-begrippen groot, maar volgens mij komt het niet eens in de buurt van Akamai/CloudFlare/etc. De grootste aanval die bij NaWas aangesloten organisaties kregen te verwerken in 2020 was ongeveer 200 Gbps. Stevig, maar niet opvallend groot.

Ter vergelijking, Steam(powered) heeft al een flink aantal jaar een pipeline van meerdere Terabytes per seconde en zelfs zij hebben (naast legitiem 'sales' verkeer) een aantal keer anti-DDOS maatregelen in moeten zetten om bereikbaar. En zij zijn slechts een van de klanten van Akamai die aanvallen te verduren hebben gekregen in het verleden.
musiman @Verwijderd21 december 2021 09:54
Ja, zoiets had ik ook wel verwacht. :) Niet voor niks dat de grote Nederlandse bedrijven kiezen voor de grotere wasstraten.
cadsite 20 december 2021 15:26
Had dit de laatste behoorlijk zware aanval op edpnet kunnen helpen oplossen op enkele minuten ipv de paar dagen dat het nu duurde?
Verwijderd @cadsite20 december 2021 16:44
Inderdaad ... dit had dit beter/sneller kunnen oplossen. de NaWas is nog 'betaalbaar'
RienBijl 20 december 2021 15:09
In het afgelopen jaar verwerkte de NaWas 1600 aanvallen; in het afgelopen kwartaal waren er aanval van meer dan 300Gbit/s.
Niet helemaal goed he :P
djwice @RienBijl20 december 2021 15:14
Geachte Redactie
jvanhambelgium 20 december 2021 17:42
Onze klanten kunnen ook gewoon opteren om het platform te gebruiken dat ingebakken zit in ons netwerk. Daar hangt idd wel een kostenplaatje aan (in functie van de capaciteit die een klant bij ons heeft)
Maar inderdaad, we zien de laatste kwartalen wel behoorlijke aanvallen, enkele "honderden Gbits/sec" zijn niet abnormaal meer.

Wereldwijd is de stap naar "Terabit-class" DDoS ook reeds ingezet. Azure heeft nog een 2.4Tbps voor de kiezen gekregen, en andere spelers > 1Tbps
wica 20 december 2021 18:11
Nederland groot in het importeren van DDOS.
prodesk 20 december 2021 20:44
Maar waarom wordt de NaWas eigenlijk nog nauwelijks door grote bedrijven en multinationals gebruikt? Ik zie dat zij bijna allen gebruik maken van bedrijven als Akamai en CloudFlare.
Verwijderd @prodesk20 december 2021 21:08
Akamai en CloudFlare zijn veel groter. Die zitten op een pipeline van (tientallen?) Tbps. NaWas is aan het opschalen (dacht een tijdje terug gelezen te hebben dat ze inmiddels over de grens van 500 Gbps of meer aan kunnen), maar het verkeer wat multinationals, en zeker online retailers zoals Amazon/(Bol.com?)/etc aan moeten kunnen is flink wat groter nog.
jvanhambelgium @prodesk20 december 2021 22:12
CloudFlare / Akamai zijn diensten die prima werken voor websites/webapps etc.
Maar Internet is meer dan dat.
Klanten van ons (Belgie) hebben hun bedrijfsverbindingen waar allerlei datastromen binnenkomen & buitengaan) en het is dus net om die te beschermen. Dat gaat een Akamai/CloudFlare niet voor je oplossen. Bedrijven die complexe B2B toepassing zelf draaien etc willen deze dienst zo veel mogelijk beschikbaar houden voor hun klanten enz. Niet alles is zomaar effe "in de cloud" te brengen, sommige zaken vereisen een volledige re-engineering of het is gewoonweg niet wenselijk om dat te doen.
thedude182 @prodesk21 december 2021 05:37
Ik weet niet wat je groot noemt. Maar er zitten genoeg grote Nederlandse bedrijven achter NaWas, aangezien hun provider er gebruik van maakt. Er worden nog genoeg zaken in NL Datacenters gehost via providers als (ik noem maar paar bekende namen): KPN, Previder, True, Interconnect, Equinix, Uniserver, Cyso.

Grote webwinkels, ziekenhuizen, banken, verzekeraars, overheidsinstellingen noem het maar op, nemen weer diensten af van bovengenoemde providers.

Punt is dat dit een grove oplossing is waar je verder geen controle over hebt als eindklant. Ook zal het paar minuten duren voordat Flowmon het verkeer heeft omgeleid. Waardoor providers (en dus andere klanten) toch enige last kunnen ondervinden.

Je wilt voor je publieke app / website zeker een meer fijnere oplossing ernaast voor layer 7 https traffic. Denk aan een CDN als Cloudflare of de oplossingen die Amazon, Azure en GC bieden. Genoeg keuze.

EDIT: Ik zat aan managed hosting te denken. Maar eigenlijk gebruiken de meeste grote bedrijven in NL weldegelijk de NAWAS. Want infra providers als Ziggo, Vodafone, T-mobile, Eurofiber gebruiken ook de Nawas.

[Reactie gewijzigd door thedude182 op 23 juli 2024 21:02]

DjEeg 20 december 2021 23:57
Maar ik wil helemaal niet naar Amsterdam...
leuk_he @DjEeg21 december 2021 12:50
Als je op de verkeerde reactie reageert kom je toch verkeert uit.. :+ :+ :+ :+ :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq